Tải bản đầy đủ (.doc) (60 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Hệ thống hỗ trợ công tác kinh doanh cho Công ty Thiết bị văn phòng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (451.55 KB, 60 trang )

Mục lục
Mục lục..............................................................................................................................1
Lời nói đầu.......................................................................................................................1
Lời nói đầu
Trong một kỷ nguyên công nghệ thông tin đang ngày càng phát triển
và đợc chú trọng nh hiện nay, mạng Internet đã trở nên quen thuộc đối với
mọi ngời, không mấy ai còn lạ lẫm với những ứng dụng thiết thực của nó.
Việc ứng dụng nó vào lĩnh vực trong cuộc sống đặc biệt là lĩnh vực kinh tế
thực sự là rất cần thiết và hiệu quả.
Sau một khoá học ở Học viện Kỹ thuật quân sự, em đã đợc học
những gì cơ bản nhất về mạng, một số ngôn ngữ lập trình và với đồ án tốt
nghiệp này, em đã lựa chọn thiết kế một hệ thống hỗ trợ cho công việc
kinh doanh của một công ty nhằm nâng cao, ứng dụng những kiến thức đã
học vào thực tế.
Hệ thống này đợc thiết kế giống một trang Web. Nó phải đảm bảo
thực hiện đợc những chức năng sau:
Giúp khách hàng lựa chọn sản phẩm và đặt hàng trực tuyến
T vấn kỹ thuật cho khách hàng trực tuyến
Công ty có thể quản lý đợc hệ thống này.
Sau một thời gian nghiên cứu, nhờ sự giúp đỡ chỉ bảo tận tình của
thầy Đào Thanh Tĩnh, hệ thống của em đã hoàn thành. Tuy nhiên, đây là
một chơng trình đầu tiên nên có thể vẫn còn nhiều sơ sót, cha đợc tối u,
bởi thế em rất mong nhận đợc sự chỉ bảo hớng dẫn thêm của các thầy và
các bạn để hệ thống đợc tốt hơn và hoàn thiện hơn nữa.
Em xin chân thành cảm ơn!
1
Chơng i: thiết kế trang Web.
1.1. Giới thiệu chung.
Trang web đợc xây dựng bởi một tập các file của các chơng trình
ứng dụng khác nhau. Ví dụ nh các text file, gồm text xuất hiện trên trang
đó và các text để định dạng trang, chỉ ra các nối kết và hiển thị hình ảnh.


Các lệnh định dạng trang web đợc gọi là nhãn HTML, các lệnh này đợc có
trong ngôn ngữ định dạng mà bộ trình duyệt web hiển thị đợc các trang
web. Các file này thờng có phần mở rộng là .htm hoặc .html.
Thêm nữa, trang web còn gồm các file đồ hoạ. Mỗi hình xuất hiện
trên trang web đợc lu trong một file riêng, thờng có phần mở rộng là .gif
hoặc .jpg hoặc .jpeg. Nhãn HTML điều khiển nơi mỗi hình xuất hiện trên
trang web. Kích thớc các file đồ hoạ cần phải nhỏ và không nên sử dụng
quá nhiều vì kích thứơc toàn bộ các file yêu cầu để hiển thị một trang web
càng lớn thì càng mất nhiều thời gian để xem lại trang web đó, đặc biệt đối
với ngời sử dụng có tốc độ kết nối Intenet chậm.
Ngoài ra, trang web còn bao gồm các file video hay file audio để tăng
thêm tính hấp dẫn, thu hút ngời xem.

1.2. Các bớc để tạo một Web site:
2
- Dự định cấu trúc của web để có ý tởng chung về thông tin gì sẽ ở
trên trang chủ và các trang chính khác. Cần xác định rõ độc giả
của trang web là ai, trang web đợc tạo ra nhằm mục đích gì để từ
đó thiết lập các chủ đề chính, các khối thông tin giới thiệu trên
trang web.
- Dùng các chơng trình ứng dụng tạo các trang cho web và lu
chúng lại. Dùng trình biên tập đồ hoạ để tạo hay xem đồ hoạ cho
các trang.
- Dùng bộ trình duyệt riêng xem các file đã tạo, cần kiểm tra văn
bản có đúng chính tả không, đồ hoạ phải trông đẹp mắt và nối
kết giữa các trang. Lặp lại bớc 2 và 3 để trang web trông đủ đẹp.
- Phổ biến web bằng cách đặt file của nó vào web server.
- Dùng bộ trình duyệt xem các trang web đợc lu thông trong web
server.
1.3. Kỹ thuật định hớng.

Một trang web đợc thiết kế với sự định hớng rõ ràng sẽ giúp ngời
xem di chuyển giữa các trang một cách dễ dàng và nhanh chóng:
- Xây dựng một trang web với cấu trúc linh động, không nên cứ
giữ một cấu trúc nghiêm ngặt cho trang web của mình nhng phải đơn giản
và nhất quán. Hầu hết các web site có cấu trúc theo hệ thống, bắt đầu bằng
những thông tin tổng quát nhất trên trang chủ với các nối kết sang các
trang chi tiết hơn, đây là cách tổ chức thông tin tốt nhất. Tuy nhiên, hãy cố
gắng giới hạn số lần sang trang mà ngời đọc phải thực hiện để tìm kiếm
thông tin mà họ cần. Thông tin trên các trang nên là những thông tin cần
thiết và hấp dẫn để giữ đợc sự hứng thú của ngời đọc.
3
- Sử dụng các kết nối định hớng để hớng dẫn ngời đọc sang các
trang khác. Ví dụ khi muốn ngời đọc sang các trang tiếp, theo thứ tự, hãy
sử dụng nối kết Next (bảo đảm cả một kết nối Previuos). Một kết nối cuối
trang chủ thì cũng rất hữu dụng. Và các nối kết định hớng thờng đợc đặt
trên các nút hoặc các biểu tợng. Mặc dù hầu hết các bộ trình duyệt hiển thị
đồ thị, tốt nhất là nên cung cấp các nối kết, bên cạnh các biểu tợng hoặc
các nút để phòng khi một số ngời đọc đang sử dụng các bộ trình duyệt
không hỉên thị trên các nút, đó là lý do mà các nối kết định hớng dợc lặp
đi lặp lại lặp lại trên các trang web và các kết nối text ở cuối trang.
- Các frame cân nhắc: nếu muốn ngời đọc xem các trang trong
một trật tự nào đó mà họ chọn, hãy sử dụng các frame để hiển thị các kết
nối trang ở bất kỳ thời điểm nào. Các trang đợc tạo cấu trúc với các frame
thờng có bảng nội dung trong một frame ở bên trái của trang. Khi ngời đọc
chuyển từ trang này sang trang khác, bảng nội dung frame vẫn có thể thấy
trên màn hình. Khi họ hoàn tất việc xem một trang, họ sẽ chọn một kết nối
khác.
1.4. Một số khía cạnh kỹ thuật khác.
4
Để có đợc một trang web hấp dẫn, dễ truy cập thì cần quan tâm đến

một số khía cạnh khác nữa, nh:
- Cố gắng không dùng các phông chữ và kích thớc text riêng trừ
khi thật sự cần thiết cho việc thiết kế trang.
- Quan trọng nhất là với mục đích thiết kế trang web sẽ đợc phổ
biến rộng khắp trên thế giới nên có nhiều ngời thuộc các dân tộc,
nền văn hoá khác nhau đọc nó. Điều có thể đợc chấp nhận trong
nền văn hoá của bạn có thể bị cho là thô tục đối với nền văn hoá
khác. Vì vậy, ngôn ngữ trên trang Web cần đợc chú trọng. Các
thông tin cung cấp trên trang Web nh địa chỉ, điện thoại, lệ phí
và giá vận chuyển cần bao gồm cả các thông tin cho ngoài nớc.
- Cần chú ý đến vấn đề bảo mật những thông tin cá nhân của
nguồn thông tin, tránh để lộ những thông tin riêng t trên trang
web mà cha đợc phép.
1.5. Một số phơng pháp tạo trang web:
Chúng ta có thể tạo trang Web bằng tay hoặc sử dụng Web Page
Editor.
1.5.1. Tạo trang Web bằng tay:
HTML Hypertex Markup Language là ngôn ngữ của các trang
World Wide Web. Các định dạng mà chúng ta ứng dụng cho văn bản, tiêu
đề và các hình ảnh trên các trang web đợc điểu khiển bởi HTML. Nó đợc
phát triển để cung cấp một cách định dạng văn bản và hình ảnh để các bộ
trình duyệt web đọc. HTML là một ngôn ngữ đánh dấu hơn là một ngôn
ngữ lập trình, đó là cách mã hoá thông tin để tất cả các kiểu của bộ trình
duyệt có thể đọc và hiển thị trang này. Nó đợc phát triển liên tục, các mã
5
mới đợc bổ dung và các mã cũ đợc bỏ đi. Sự phát triển của HTML đợc
quản lý bởi World Wide Web Consortium hoặc W3C.
1.5.2. Tạo trang Web bằng cách sử dụng Web Page Editor.
a, Giới thiệu về Web Page Editor.
Với Web Page Editor, tất cả các trang Web đợc thiết kế đều đợc

xem dới hình thức mà nó sẽ xuất hiện trong bộ trình duyệt. Ta không cần
phải vào một trình ứng dụng khác hoàn toàn để xem trang Web đã đợc
định dạng.
Khi sử dụng Web Page Editor bạn tiết kiệm đợc rất nhiều thời gian
vì không cần phải nhập vào tất cả HTML tag. Các Web Page Editor đã bổ
sung tag cho bạn, bạn có thể tập trung vào thiết kế dàn bài và nội dung của
trang.
b, Một số Editor phổ biến
Netscape Composer: Là một phần của bộ Netscape Communication
và có thể đợc tải từ Netscape Web site tại
.
Frontpage và Frontpage Express là hai Web Page Editor xuất phát
từ Microsoft. Frontpage Express là một chơng trình tối u để tạo
trang Web một cách nhanh chóng. Frontpage có nhiều tính năng
hơn Frontpage Express và cho phép xem cũng nh quản lý toàn bộ
cấu trúc của Web và tạo các trang Web. Để biết thêm bạn có thể
xem Microsoft Web site tại .
PageMill là Web Page Editor từ Adobe. Để biết thêm, hãy xem
Adobe Web site tại . Đây không phảI là một
phần mềm chia sẻ hay miễn phí.
6
HotDog Professional là một chơng trình có thể chia sẻ của Sausage
Software ( )
1.6. Tạo các đồ hoạ web.
Các đồ hoạ máy tính đợc lu giữ theo nhiều dạng file khác nhau, nh-
ng thuộc hai kiểu chính sau:
Vector image: gồm các đờng thẳng và các dạng khác nhau, đ-
ợc tô màu hoặc bóng đổ.
Bitmap image: gồm các chấm màu hoặc pixel. Các tài liệu
Web thờng sử dụng hình ảnh bitmap và hai dạng chính của

nó là GIF (CompuServers Graphics Interchange Format) và
JPEG (Joint Photographic Experts Group)
Các chơng trình đồ hoạ có ba loại chính:
Chơng trình vẽ và photo giúp bạn đọc các file hình ảnh khác
và tuỳ ý sử dụng chúng khi sử dụng Web hoặc là tạo một
hình ảnh của Web cho chính bạn bằng cách sử dụng một cây
cọ vẽ và các công cụ khác.
Các chơng trình minh hoạ tạo các hình ảnh chủ yếu là các đồ
hoạ vector và vì thế có ít đặc tính hơn trong việc tối u hoá các
file bitmap đợc sử dụng trong Web.
Các lợi ích của đồ hoạ: đồ hoạ đợc thiết kế thành các chơng
trình có các đặc tính đơn giản tập trung vào chuyển đổi các
hình ảnh từ một định dạng này sang một định dạng khác và
cách điều chỉnh sơ các hình ảnh đó.
Một số chơng trình đồ hoạ hay đợc sử dụng:
Microsoft Paint giúp ngời sử dụng máy tính tô màu một hình
ảnh đơn giản hoạt động trong một hình ảnh và chỉnh sửa nó.
7
Adobe Photoshop là một chơng trình đồ hoạ cho mục đích
tổng quát và chuyên nghiệp, giúp bạn scan, chỉnh sửa, tô màu
và phát triển các hình ảnh.
Để thực hiện tốt việc tạo đồ hoạ cho Web thì phải cân đối đợc tốc
độ tải và chất lợng hình ảnh. Nếu bạn chú trọng về tốc độ thì phải giảm đi
số lợng các màu và các chi tiết trong một hình ảnh. Nếu chú trọng về độ
trung thực của màu sắc thì sử dụng hình ảnh chi tiết cao và bổ sung các
hiệu ứng đặc biệt nào đó nên làm giảm tốc độ tải xuống một cách đáng kể.
Việc tối u hoá có thể giúp làm giảm tối thiểu hoạt động cân đối.
Khi tối u hóa tốc độ, các hình ảnh cần phải tải nhanh nếu không ng-
ời sử dụng sẽ không đợi chúng trớc khi chuyển sang trang khác. Tốc độ tải
nhanh đối với các trang web có kích thớc nhỏ và các hình ảnh sử dụng lại

nếu có thể. Các yếu tố chính ảnh hởng đến kích cỡ là: chọn định dạng
(JPEG, GIF); kích thớc ảnh; số lợng màu.
- Để giảm thiểu tối đa kích thớc ảnh thì cách tốt nhất là sử
dụng chiều cao và chiều rộng của một hình ảnh nhỏ nhất (trong các
ảnh điểm). Chiều cao và chiều rộng nếu đợc giảm đi một nửa thì tức
là hầu hết các file ảnh có kích cỡ đã giảm tối đa là một nửa. Khi
thực hiện việc định kích thớc dùng cho hình ngay từ đầu thì sẽ có
những kết quả tốt nhất. Hầu hết các chơng trình đồ hoạ sẽ cung cấp
một trình điều khiển thuộc tính về kích cỡ, độ co giãn và thuộc tính
định lại kích cỡ để giảm kích thớc ảnh.
- Các hình ảnh có ít chi tiết hoặc là có nhiều tính chất đồng
nhất trong số các pixel của nó sẽ tạo ra các file nhỏ. Tất cả các định
dạng cho web dựa trên việc nén dữ liệu và nén các đặc điểm trợ giúp
tính đồng nhất. Với việc nén dữ liệu, nếu một nhóm các pixel giống
nhau về màu sắc thì mọi pixel sẽ không đòi hỏi giá trị màu sắc của
nó trong file này, nhóm này có thể đại diện bằng một giá trị đơn.
8
Màu sắc thay đổi càng ít trong một hạt các pixel thì càng ít nhóm đ-
ợc đòi hỏi, và kích cỡ càng nhỏ.
- Số lợng màu sử dụng cho hình ảnh càng ít thì file càng
nhỏ. Nên sử dụng ít màu khi vẽ một bức tranh ngay từ lúc đầu. Bên
cạnh đó, có nhiều chơng trình đồ hoạ giúp ta giảm bảng mẫu màu
của hính ảnh đang có. Việc giảm đi số lợng màu trong bảng mẫu sẽ
làm giảm kích thớc file ảnh nhng không do file này có ít dữ liệu về
bảng mẫu, dữ liệu bảng mẫu là một phần nhỏ của file ảnh. Khi ch-
ơng trình xóa các mẫu này, nó sẽ cung cấp cho các pixel có ảnh h-
ởng các màu mới. Nó có ít màu nên có một pixel thì chỉ tơng ứng
với một màu của pixel đó. Các pixel thuộc một nhóm pixel cùng
màu và không cần dữ liệu của chúng trong file này.
Việc tốc độ tải nhanh là quan trọng nhng cũng cần giữ mức độ chất

lợng. Khi đợc đa kích cỡ vào một nội dung nào đó thì cách để bảo đảm
chất lợng là chọn định dạng file thích hợp và điều khiển độ sâu, sự đồng
nhất về màu sắc trong hình ảnh.
- Số lợng màu khác nhau mà một file hình ảnh có thể chứa
đợc gọi là độ sâu của màu sắc. Các file .gif có độ sâu màu tối đa là
256 màu (màu 8 bit), nhng cũng có thể có các độ sâu màu 7 bit (128
màu), 6 bit (64 màu), . Các file .jpeg có độ sâu màu hỗn hợp của
16,7 triệu màu, gọi là màu 24 bit, một độ sâu màu làm cho các hình
ảnh jpeg đẹp hơn cho việc chụp màu. Trong một độ sâu đợc đa thì
số lợng màu thực sự đợc sử dụng trong hình ảnh (bảng màu) có thể
ít hơn độ sâu màu cho phép. Một hình ảnh gif có thể chỉ sử dụng
200 màu. Dù có sự khác nhau nh vậy nhng khó có thể nhận biết khi
hiển thị trên màn hình vì có những máy tính chỉ hiển thị chỉ 256
màu khác nhau. Vậy trên trang web có hình ảnh thì các hình ảnh đó
nên sử dụng cùng một bảng màu. Các máy tính sử dụng bảng màu
9
trên màn hình có thể chỉ hiển thị các màu của chỉ một bảng màu vào
một thời điểm.
- Chuyển các màu hỗn hợp thành một màu đơn có thể làm
tăng chất lợng hình ảnh, giảm đI kích cỡ file và giúp nhận đợc hiệu
ứng trong suốt đồng bộ cho màu đó mà không có những lốm đốm.
Phơng thức dễ nhất là tô màu cho một vùng có màu không đồng bộ
bằng một màu duy nhất, sử dụng các công cụ sơn phổ biến trong các
trình đồ hoạ.
1.7. Tạo các file web Audio:
Có năm bớc chính để tạo các file Web Audio:
1. Bắt giữ audio bằng thiết bị thu nh băng catssette, các đĩa nhỏ
hoặc băng audio kỹ thuật số.
2. Tạo một file audio không nén trên máy tính bằng cách sử dụng
thẻ âm thanh của nó.

3. Hiệu chỉnh và xử lý audio không nén.
4. Mã hoá file vào một format audio khác nhau.
5. Tải audio kết quả vào Web Server, bổ sung các liên kết vào các
file audio từ các trang web.
10
Chơng II: bảo mật mạng
Mạng Internet là một mạng công cộng rất rộng lớn, số ngời truy cập
vào đây rất nhiều gồm cả kẻ xấu lẫn kẻ tốt, với vô số mục đích, nên thông
tin trên mạng rất dễ bị ăn cắp, sửa đổi và bị phá hoại. Mặt khác, những kẻ
xấu có thể tận dụng chúng để truy cập vào hệ thống mạng nội bộ của một
công ty, một tổ chức nhằm phá hoại hoặc chỉ vì muốn thoả mãn sự hiếu
kỳ, sở thích a phiêu lu, mạo hiểm. Dù với bất kỳ nhu cầu nào điều đó cũng
sẽ gây tổn hại cho công ty, tổ chức đó, đặc biệt là với các công ty, tập đoàn
kinh doanh, tài chính.
Công việc bảo mật trên mạng đợc thực hiện dới nhiều hình thức,
bằng nhiều cách. Hệ thống bảo mật đợc thiết kế bởi nhiều lớp với nhiều
phần mềm chống ăn cắp, sao chép thông tin, phá hoại thông tin, hay mã
hoá thông tin, kết hợp với nhau. Tất cả đều nhằm mục đích là che dấu hay
bảo vệ các điểm yếu trên mạng, chống sự xâm phạm bất hợp pháp, chống
sự phá hoại gây bất lợi cho những ngời sử dụng mạng.
Hệ thống hỗ trợ công tác kinh doanh thiết kế dới đây nằm trong một
mạng nội bộ của công ty, giao tiếp với Internet nên cũng rất dễ bị phá hoại
thông qua mạng Internet. Vì vậy, hệ thống bảo mật mạng nội bộ khỏi tác
động của bên ngoài cần phải đợc tìm hiểu.
2.1. Giới thiệu qua về hệ thống bảo mật cho mạng máy tính:
2.1.1. Mục đích:
Việc kết nối máy tính là nhằm sử dụng chung tài nguyên của hệ
thống và chia sẻ tài nguyên cho nhau của các đối tợng tham gia hoạt động
trong mạng, cho dù họ đang ở các vị trí địa lý khác nhau.
11

Tài nguyên hệ thống chủ yếu là các dữ liệu, thông tin, một thứ rất
quý giá cần đợc bảo vệ, chống thất thoát trên các mạng truyền dữ liệu
công cộng. Vì vậy, cần phải có một hệ thống bảo mật để bảo vệ những tài
nguyên đó.
Hệ thống bảo mật cần phải đảm bảo 4 yêu cầu sau:
- Authentication: là một quá trình nhằm định danh một đối tợng
nh máy tính hay ngời sử dụng. Các đối tợng trớc khi liên lạc với
nhau cần phải biết chính xác danh tính của nhau.
- Intergrity: đảm bảo sự chính xác của dữ liệu trong quá trình
truyền từ đối tợng này sang đối tợng khác, tránh trờng hợp dữ
liệu bị sửa đổi trên đờng truyền.
- Confidentiality: đảm bảo dữ liệu đến chính xác đối tợng cần
nhận.
- Anti-Replay: đảm bảo không thể dựa vào các dữ liệu cũ để có
thể khai thác vào các mục đích bẻ khoá, ăn trộm, phá hoại thông
tin sau này.
2.1.2. Các chiến lợc bảo mật hệ thống:
- Quyền hạn tối thiểu: bất kỳ một đối tợng nào cũng chỉ có những
quyền hạn nhất định đối với tài nguyên chung. Khi thâm nhập
vào mạng, đối tợng chỉ đợc sử dụng tài nguyên với những quyền
hạn nhất định đã đợc phân.
- Bảo vệ theo chiều sâu: tạo nhiều chế độ an toàn để chúng hỗ trợ
lẫn nhau.
- Nút thắt: chỉ cho phép thông tin vào hệ thống qua duy nhất một
con đờng, tổ chức cơ chế kiểm soát và điều khiển luồng thông tin
này.
12
- Điểm nối yếu nhất: kẻ phá hoại thờng tím những điểm yếu nhất
của hệ thống để tấn công nên cần phải tìm ra và bảo vệ các điểm
yếu đó.

- Tính toàn cục: các hệ thống an toàn đòi hỏi phải có tính toàn cục
của các hệ thống cục bộ. Nếu có kẻ nào muốn bẻ gãy một cơ chế
an toàn, chúng có thể làm bằng cách tấn công vào một hệ thống
tự do của ai đó trong mạng và dùng hệ thống đó để tấn công từ
bên trong.
- Tính đa dạng của việc bảo vệ: sử dụng nhiều biện pháp khác
nhau cho những hệ thống khác nhau, nếu không sẽ tạo điều kiện
cho một kẻ tấn công vào đợc một hệ thống dễ dàng tấn công hệ
thống khác.
2.1.3. Các mức bảo vệ an toàn mạng:
Không thể có một giải pháp bảo vệ mạng tuyệt đối nên sẽ sử dụng
đồng thời nhiều mức bảo vệ khác nhau, tạo nhiều lớp rào chắn đối với các
hoạt động xâm phạm.
Việc bảo mật thông tin trong mạng chủ yếu là bảo vệ thông tin cất
giữ trong các máy tính, máy chủ của mạng. Vì vậy, các phơng pháp nhằm
chống thất thoát thông tin trên đờng truyền, sẽ đợc xây dựng bằng các mức
chắn từ ngoài vào trong cho các hệ thống kết nối vào mạng theo mô hình
sau:
- Quyền truy nhập (Acess Right): kiểm soát việc truy nhập tài
nguyên mạng và quyền hạn trên tài nguyên đó. Việc quản lý đợc
tiến hành ở mức truy nhập file. Việc xác lập các quyền đợc quyết
định bởi ngời quản lý mạng (Supervisor).
- Đăng ký tên/ mật khẩu (Login/ Password): mỗi ngời sử dụng
muốn đợc sử dụng mạng phải đăng ký tên/ mật khẩu để ngời
13
ngoài không biết tên/ mật khẩu không thể truy nhập mạng. Ph-
ơng pháp này không mấy hiệu quả với những ngời quá hiểu biết
về hệ thống.
- Mã hoá dữ liệu (Data Encryption): biến đổi dữ liệu từ dạng nhận
thức sang dạng không nhận thức đợc theo một thuật toán nào đó

và sẽ biến đổi ngợc lại tại bên nhận.
- Lớp bảo vệ vật lý (Physical Protection): ngăn cản các truy nhập
vật lý bất hợp pháp vào hệ thống.
- Firewall: nhằm bảo vệ an toàn cho một máy tính hoặc một mạng
nội bộ, ngăn chặn các xâm nhập trái phép và có thể lọc bỏ các
thông tin mà ta không muốn gửi đi hay nhận về vì những lý do
nào đó.
Mã hoá dữ liệu
Đăng ký tên/ mật khẩu
Quyền truy nhập
Thông tin
Lớp bảo vệ vật lý
Firewall
14
2.2. Giới thiệu về Firewall.
2.2.1. Các khái niệm chung:
2.2.1.1 Firewall là gì?
Nh trên, Firewall là lớp rào chắn ngoài cùng của hệ thống bảo mật
mạng. Nó là thiết bị (thờng là router) bảo vệ mạng khỏi sự thâm nhập
không mong muốn từ phía bên ngoài cũng nh kiểm soát sự truy cập của
ngời sử dụng bên trong mạng vào các nguồn tài nguyên.
Firewall sẽ không có tác dụng đảm bảo an to n mạng khi nó đứng
một mình m nó phải đi cùng để bảo về website v hệ thống mạng. Để
firewall l m việc có hiệu quả cao nhất ta cần xác đ nh quy mô của mạng,
nhiệm vụ chính của firewall l gì rồi mới cấu hình firewall cho phù hợp.
Firewall tăng cờng tính bảo mật và giảm thiểu sự rủi ro cho mạng
bằng cách chọn lọc các dịch vụ, giao thức sử dụng trong mạng.
15
Hầu hết các router đợc sử dụng nh Firewall để lọc các datagram dựa
vào địa chỉ nguồn, đích hoặc nhờ các giao thức ở tầng cao hơn hay theo

các chính sách an ninh của mỗi mạng.
Các loại Firewall tinh vi hơn thì sử dụng dịch vụ uỷ quyền (Proxy
Server) hay còn đợc gọi là Bastion Host. Dịch vụ này có nhiệm vụ ngăn
chặn các truy nhập trực tiếp của ngời sử dụng trong mạng ra bên ngoài. Do
đó, ngời quản trị mạng có thể kiểm soát đợc các quyền trao đổi thông tin
giữa bên trong và bên ngoài mạng.
2.2.1.2. Mục đích của việc xây dựng Firewall.
Mục đích của Firewall là làm việc nh một cổng bảo an, cấp quyền
điều khiển cho các thành phần bên trong mạng; cho phép ai đó đợc quyền
truy xuất vào tài nguyên nào của mạng cũng nh cho ai đợc quyền truy xuất
ra ngoài mạng.
Nó còn đựơc sử dụng để kiểm soát các kết nối giữa mạng nội bộ và
mạng bên ngoài. Ví dụ, ta có thể sử dụng Firewall để ghi những điểm cuối
và lợng dữ liệu gửi qua mọi kết nối TCP/ IP giữa tổ chức và thế giới bên
ngoài.
Thậm chí, Firewall còn đợc sử dụng để nghe trộm và ghi lại tất cả
các cuộc hội thoại giữa mạng nội bộ và thế giới bên ngoài.
Nếu tổ chức có hơn một vị trí và ta có Firewal cho mỗi vị trí đó, ta
có thể lập trình cho các Firewall này để mã hoá gói tin đợc gửi qua mạng
giữa các vị trí một cách tự động. Trong trờng hợp này, ta có thể sử dụng
Internet nh một mạng diện rộng riêng của chính mình mà không gây tổn
hại dữ liệu; cơ chế này thờng đợc dựa vào để tạo một mạng riêng ảo
(Virtual Private Network) hoặc VPN.
2.2.1.3. Chức năng của Firewall:
16
- Firewall hỗ trợ cho hệ thống bảo mật của toàn mạng, phải linh
hoạt, dễ dàng chỉnh sửa cho phù hợp với nhu cầu của hệ thống.
- Firewall phải từ chối thực hiện tất cả các dịch vụ ngoại trừ các
dịch vụ đặc biệt đợc ngời quản trị cho phép.
- Firewall có khả năng mở rộng, nâng cấp hoặc có khả năng thẩm

định quyền cao cấp.
- Nó phải thực hiện đợc các kỹ thuật lọc để cho phép hay không
cho phép các dịch vụ tới các hệ thống máy chủ đã chỉ định theo
nhu cầu.
- Firewall phải sử dụng các Proxy Server cho các dịch vụ nh FTP
(File Transfer Protocol) thì phạm vi thẩm định quyền cao cấp
mới có thể tập trung và thực hiện tại Firewall. Nếu nh mạng có
sử dụng các dịch vụ nh NNTP (Network News Transport
Protocol), HTTP (HyperText Transfer Protocol) hay Gopher thì
Firewall phải có các dịch vụ uỷ quyền tơng ứng.
- Firewall phải có khả năng tập trung truy nhập SMTP (Simple
Mail Transfer Protocol) để làm tăng các kết nối trực tiếp giữa
máy tính đến hệ thống ở xa.
- Nếu sử dụng một hệ điều hành mở nh UNIX, NT, thì các
phiên bản bảo mật của các hệ điều hành này cũng phảI là một
phần của Firewall cũng nh các công cụ bảo mật khác, có nh thế
mới bảo đảm có một Firewall toàn vẹn, chắc chắn.
- Firewall phải đợc phát triển theo hớng kiểm soát đợc sức mạnh
và độ chính xác của nó.
- Firewall và hệ điều hành sử dụng trên nó phải luôn đợc nâng cấp
và bảo dỡng.
17
2.2.2. Các thành phần và sự hoạt động của Firewall:
2.2.2.1. Các thành phần của Firewall:
Firewall gồm các phần cơ bản nh sau:
- Chính sách bảo mật mạng (Network Security Policy).
- Thiết bị thẩm định quyền (Advanced Authentication).
- Bộ lọc gói tin (Packet Filtering).
- Trình ứng dụng (Application Gateway).
a. Chính sách bảo mật mạng:

Chức năng cơ bản của Firewall là giới hạn luồng thông tin lu thông
giữa hai mạng: mạng nội bộ (Internal Network) và mạng bên ngoài
(External Network), nh là mạng Internet. Để thiết lập Firewall, cần phải
xác định rõ loại dữ liệu nào đợc qua và loại nào không đợc qua. Công việc
này chính là việc xây dựng một chính sách bảo mật mạng. Sau khi đã xác
định rõ chính sách, ta cần tạo các kỹ thuật thực tế để thực hiện chính sách.
Có hai chiến lợc cơ bản để xây dựng chính sách:
- Chấp nhận mặc định (Default Permit): tạo cho Firewall một tập
các điều kiện xác định dữ liệu bị khoá. Bất cứ một máy chủ hoặc
thủ tục nào không bị kiểm soát bởi chính sách sẽ đợc qua vì đã
đợc xác lập mặc định.
- Từ chối mặc định (Derfalt Deny): mô tả những thủ tục đặc biệt
đợc cho phép qua Firewall và các máy chủ đặc biệt có thể cho dữ
liệu đi qua và đợc quyền liên lạc. Những thứ còn lại sẽ bị từ chối.
18
Một ví dụ về cấu trúc của Firewall.
Ưu điểm của chiến lợc chấp nhận mặc định là khiến dễ dàng định
rõ, phác ra các thủ tục đợc xem là quá nguy hiểm và dựa vào kiến thức của
mình để khoá các thủ tục mới vì chúng luôn thay đổi và đợc phát hiện ra.
Với chiến lợc từ chối mặc định, dễ cài đặt các thủ tục đợc ngời sử
dụng và nhà quản lý đòi hỏi. Bất cứ một thủ tục nào mà tổ chức không sử
dụng sẽ dễ dàng bị ngăn chặn.
Việc cài đặt Firewall bị ảnh hởng trực tiếp bởi hai mức chính sách
mạng:
- Chính sách bảo mật mạng xác định các dịch vụ đợc phép truy
cập hay nhất định bị từ chối đợc gọi là chính sách bậc cao. Chính
sách này cũng xác định các dịch vụ đó đợc sử dụng nh thế nào.
19
- Chính sách bậc thấp xác định Firewall sẽ giới hạn việc truy cập
và lọc các dịch vụ bị từ chối ở chính sách bậc cao nh thế nào.

Các chính sách này phải mềm dẻo và linh hoạt vì: Mạng Internet
thay đổi hàng ngày với một tốc độ rất nhanh, các dịch vụ dùng trên
internet cũng thay đổi theo. Vì vậy, nhu cầu của các công ty cũng sẽ thay
đổi nên mạng sẽ phải bị chỉnh sửa để có thể thích nghi cho phù hợp với
những sự thay đổi đó, nhng không đợc gây vấn đề gì làm tổn hại đến công
việc bảo mật. Chính sách bảo mật sẽ hầu nh không bao giờ thay đổi nhng
các thủ tục sẽ luôn đợc xem xét, chỉnh sửa lại.
Chính sách đề ra phải dự đoán đợc các rủi ro và sự thay đổi của
chúng để có thể chỉnh sửa, có các phơng pháp bảo mật phù hợp vì những
rủi ro gặp phải trên Internet sẽ không ngừng biến đổi.
Chính sách phải tạo đợc một sự cân bằng giữa việc bảo vệ mạng với
việc cấp quyền cho ngời sử dụng truy cập đến tài nguyên của mạng.
Khi thiết lập một chính sách tạo Firewall, phải hiểu rõ khả năng và
giới hạn của Firewall cũng nh nắm rõ các mối đe doạ và nguy cơ. Phải
nhớ, Firewall thờng thực hiện các chính sách sau:
- Firewall cho phép các máy con sử dụng tất cả các dịch vụ đã
mặc định, ngoại trừ một số dịch vụ đợc xác định rõ là không đợc
phép.
- Cũng bằng cách này, Firewall sẽ từ chối thực hiện tất cả các dịch
vụ theo mặc định, nhng sau đó sẽ cho phép thực hiện các dịch vụ
này khi chúng đợc xác định rõ là đợc phép sử dụng.
b. Thiết bị thẩm định quyền (Advanced Authentication):
Là các SmartCard nh ID card hay các loại card đợc mã hoá bằng từ
và một số phần mềm. Các thiết bị này là những sự lựa chọn để đối phó với
việc có nhiều password bị bẻ gãy. Nếu chọn một trong các thiết bị trên,
20
các hacker sẽ không thể dùng lại password đã bị giám sát trong quá trình
kết nối.
Thiết bị thẩm định quyền đợc sử dụng khá phổ biến hiện nay là hệ
thống password một lần (One-time Password System). Nó làm việc chung

với phần mềm hoặc phần cứng. Các password nếu có bị giám sát cũng chỉ
có thể sử dụng đợc một lần.
Hệ thống thẩm định quyền của Firewall cần phải đợc đặt trong
Firewall vì nó chịu trách nhiệm kiểm soát và điều khiển việc truy cập tới
các máy con.
Tất cả các kết nối bắt đầu từ Internet tới hệ thống máy trạm sẽ phải
chịu sự thẩm định quyền trớc khi sự cho phép đợc chấp nhận. Password có
thể vẫn cần thiết phải sử dụng nhng trớc khi truy cập đợc cho phép thì
những Password này đã đợc bảo vệ cho dù chúng đã bị giám sát.
c. Bộ lọc gói tin (Packet Filtering):
Việc lọc các gói tin IP thờng đợc thực hiện bằng việc sử dụng
router. Các router này có thể lọc các gói tin IP dựa vào các trờng sau:
- Địa chỉ IP nguồn
- Địa chỉ IP đích
- Cổng TCP/ UDP nguồn
- Cổng TCP/ UDP đích.
Trong việc chặn đứng các kết nối ra hay vào mạng, việc chọn lọc đ-
ợc thực hiện bằng nhiều cách, bao gồm cả việc chặn các kết nối tới các
cổng cụ thể. Ví dụ, có thể quyết định ngăn chặn những kết nối từ các địa
chỉ hoặc các máy con những địa chỉ mà cảm thấy không đáng tin cậy, hoặc
có thể quyết định ngăn kết nối từ các từ tất cả các địa chỉ ở bên ngoài
mạng. Tất cả những việc đó đều có thể thực hiện đợc bằng việc lọc bỏ.
21
Mặc dù, bộ lọc gói tin làm nhiệm vụ rất hiệu quả, làm tăng độ bảo
mật mạng nhng nó vẫn có một số nhợc điểm.
Các quy luật của nó phức tạp khiến cho việc xác định và kiểm tra
gặp khó khăn. Bởi vì khi có vấn đề thì chỉ có thể hoặc phải kiểm tra bằng
tay mọi khả năng hoặc phải phán đoán để tìm ra chỗ thuận lợi để có thể
kiểm tra tính chính xác các quy luật của nó.
Mặt khác, trong các router không có chức năng khoá. Nếu router

không có khả năng khoá thì nếu có các gói tin nguy hiểm thâm nhập thì sẽ
không thể phát hiện hoặc khi phát hiện thì đã quá muộn.
Cạnh đó, việc cho phép các loại truy cập xác định (những truy cập
bình thờng bị chặn) đi qua, sẽ phải tạo một sự ngoại lệ đối với các quy tắc.
Những sự ngoại lệ này sẽ tạo các quy luật lọc rất khác nhau, thậm chí khó
kiểm soát.
Một số Firewall còn sử dụng dịch vụ uỷ quyền (Proxy Server), còn
gọi là pháo đài bảo vệ (Bastion Host) để tăng độ bảo mật cho mạng.
Dịch vụ uỷ quyền (proxy service) có thể biểu diễn ngời dùng
trong mạng trên Internet bằng cách thay đổi địa chỉ IP của khách trong các
gói dữ liệu sang địa chỉ IP của riêng nó. Kỹ thuật này về cơ bản che dấu hệ
thống mạng nội bộ và bảo đảm rằng những ngời dùng trong mạng không
kết nối trực tiếp với hệ thống bên ngoài.
Mạng
Internet
(outside)
Mạng nội
bộ
(Inside)
Bastion Host
22
Proxy server có thể đánh giá và lọc tốt cả các gói dữ liệu đến hoặc
ngăn các gói dữ liệu đi ra.
Một số proxy server đợc thiết kế để cho phép chỉ những ngừơi dùng
trong mạng truy cập Internet và không cho phép bất cứ ngời dùng bên
ngoài nào trong mạng. Vì mọi yêu cầu đến Internet server đều tạo ra phản
hồi, proxy server phải cho phép lợng giao thông quay về, nhng nó thực
hiện điều này bằng cách chỉ cho phép lợng lu thông là một phản hồi nào
đó của ngời dùng trong mạng. Các loại proxy server khác cung cấp dịch vụ
chuyển tiếp an toàn theo cả hai chiều.

Proxy server còn có thể cung cấp dịch vụ cache cho ngòi dùng trong
mạng. Nó lu trữ thông tin về các nơi (site) để ngời dùng truy cập nhanh
hơn. Khi ngời dùng truy cập đến những nơi nầy, thông tin đợc lấy từ vùng
cache đã lu trữ trớc đó.
Có hai loại proxy server:
- Proxy server mức mạng: Loại proxy server này cung cấp kết
nối (có điều khiển) giữa các hệ thống bên trong và ngoài. Có một
mạch ảo giữa ngời dùng bên trong và proxy server. Các yêu cầu
Internet đi qua mạch này đến proxy server, và proxy server
chuyển giao yêu cầu này đến Internet sau khi thay đổi địa chỉ IP.
Ngời dùng ngoài chỉ thấy địa chỉ IP của proxy server. Các phản
hồi đợc proxy server nhận và gởi đến ngời dùng thông qua mạch
ảo. Mặc dù lợng lu thông đợc phép đi qua, các hệ thống ngoài
không bao giờ thấy đợc hệ thống bên trong. Loại kết nối này th-
ờng đợc dùng để kết nối ngời dùng trong mạng đợc uy thác với
Internet.
- Proxy server mức ứng dụng: cung cấp tất cả các chức năng cơ
bản của proxy server và còn phân tích các gói dữ liệu. Khi các
23
gói từ bên ngoài đến cổng này, chúng đợc kiểm tra và đánh giá
để xác định chính sách an toàn có cho phép gói này đi vào mạng
nội bộ hay không. Proxy server không chỉ đánh giá địa chỉ IP, nó
còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất
dấu thông tin trong đó.
Để ý rằng có một khoảng trống ảo tồn tại trong bức tờng lửa giữa
mạng nội bộ và mạng bên ngoài, và các khoảng trống này đợc nối bằng
các phần tử đại diện cho ngời dùng nội bộ hoặc ngoài. Phải cài đặt từng
proxy riêng lẻ cho mỗi dịch vụ mức ứng dụng.
Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo
hơn nhiều vì tất cả thông tin trong các gói đợc ngời điều hành sử dụng đã

ghi các luật xác định cách xử lý các gói. Có thể giám sát dễ dàng mọi việc
xảy ra trên proxy server. Cũng có thể bỏ các tên máy tính để che dấu hệ
thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu vì mục
đích hợp lý và an toàn. Tính hợp lý là một tùy chọn thú vị. Có thể thiết
lập bộ lọc để loại bỏ mọi bản tin điện tử có nội dung xấu.
Một trong những vấn đề với proxy server là nó phải đánh giá một l-
ợng lớn thông tin trong một lợng lớn các gói dữ liệu. Ngoài ra, phải cài đặt
từng proxy cho mỗi ứng dụng. Điều này ảnh hởng đến hiệu suất và làm
tăng chi phí. Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu
đợc so sánh với các gói tin cậy đã biết.
Ví dụ, nếu truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi
thứ và yêu cầu ban đầu, nh số hiệu cổng, địa chỉ nguồn và đích. Cách
nhớ này đợc gọi là lu trạng thái. Khi hệ thống bên ngoài phản hồi yêu
cầu của ngời sử dụng, firewall sẽ so sánh các gói nhận đợc với trạng thái
đã lu để xác định chúng đợc phép vào hay không.
24
Proxy server mức ứng dụng cung cấp các proxy điều khiển truy cập
qua bức tờng lửa theo một cách duy nhất. Chúng hiểu rõ các giao thức của
ứng dụng đợc phép vận hành qua lại thông qua gateway, và quản lý toàn
bộ luợng lu thông vào và ra, trong trờng hợp không thể dùng bộ định tuyến
kiểm tra.
2.2.2.2 Cơ chế hoạt động của Firewall:
Firewall thờng đợc mô tả nh là hệ phòng thủ bao quanh, với các
chốt để kiểm soát tất cả các luồng lu thông nhập và xuất. Giống nh hệ
phòng thủ xung quanh các lâu đài thời trung cổ. Các hào và tờng tạo nên
hệ phòng thủ, còn các phòng gác ở cổng và các cửa kéo là các chốt, ở đó
mọi ngời phải đi qua khi vào và ra khỏi lâu đài. Có thể theo dõi và khóa
truy cập tại các chột này.
Các mạng dùng riêng nối với Internet thờng bị đe dọa bởi những kẻ
tấn công. Để bảo vệ hệ dữ liệu bên trong, ngời ta xây dựng hệ thống phòng

thủ gồm dây thép, hào, dầu nóng và những thứ khác để đẩy lùi những kẻ
phá rối. Nhng mối đe dọa thật sự là những kẻ đi qua các bức tờng vào ban
đêm và qua đợc mọi vật cản để đến đích tấn công.
Nếu bức tờng lửa giống nh lâu đài, ngời dùng đợc hợp thức hóa để
truy cập ở mức độ nào, và họ đợc làm gì một khi vào đợc bên trong? Dĩ
nhiên mọi bức tờng lửa đều cần tìm cách nào đó để cho phép ngời dùng
hợp lệ đi qua và chặn lại những ngời dùng bất hợp lệ.
Dới thời trung cổ, những thị dân và thơng gia đợc phép vào sân chợ
trong lâu đài tơng đối dễ dàng để có thể mua bán hàng hóa. Vào ban đêm,
cổng đợc khóa và hàng hóa đợc cất trong lâu đài thờng có đội tuần tra.
Trong khi hầu nh mọi ngời đều có thể vào sân chợ nhng chỉ có những ngời
đợc uy thác và có th uy nhiệm mới đợc vào vùng bên trong lâu đài. Trong
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×